Compartilhar via

Use o portal Azure para habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para discos gerenciados

Aplica-se a: ✔️ Linux VMs ✔️ Windows VMs ✔️

Armazenamento em Disco do Azure permite que você gerencie suas próprias chaves ao usar a SSE (criptografia do lado do servidor) para discos gerenciados, se você escolher. Para obter informações conceituais sobre a SSE com chaves gerenciadas pelo cliente e outros tipos de criptografia de disco gerenciado, confira a seção Chaves gerenciadas pelo cliente do nosso artigo sobre criptografia de disco: Chaves gerenciadas pelo cliente

Pré-requisitos

Nenhum

Restrições

Por enquanto, as chaves gerenciadas pelo cliente têm as seguintes restrições:

  • Se esse recurso estiver habilitado para um disco com instantâneos incrementais, ele não poderá ser desabilitado nesse disco ou em seus instantâneos. Para contornar isso, copie todos os dados para um disco gerenciado totalmente diferente que não use chaves gerenciadas pelo cliente. Você pode fazer isso com o módulo CLI do Azure ou o módulo Azure PowerShell.
  • Um disco e todos os seus instantâneos incrementais associados precisam ter o mesmo conjunto de criptografia de disco.
  • chaves de software e chaves RSA HSM de tamanhos 2.048, 3.072 e 4.096 bits são suportadas. Não são aceitas outras chaves ou tamanhos.
    • As chaves HSM exigem a camada premium dos Azure Key Vaults.
  • Somente para Discos Ultra e discos SSD Premium v2:
    • (Versão prévia) As identidades gerenciadas atribuídas pelo usuário estão disponíveis para discos Ultra Disks e Premium SSD v2 criptografados com chaves gerenciadas pelo cliente.
  • A maioria dos recursos relacionados às chaves gerenciadas pelo cliente (conjuntos de criptografia de disco, VMs, discos e instantâneos) devem estar na mesma assinatura e região.
  • Os discos criptografados com chaves gerenciadas pelo cliente só poderão ser movidos para outro grupo de recursos se a VM à qual estão anexadas for desalocada.
  • Os discos, os instantâneos e as imagens criptografadas com chaves gerenciadas pelo cliente não podem ser movidas entre assinaturas.
  • Discos gerenciados atualmente ou previamente criptografados usando Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
  • Só é possível criar até 5 mil conjuntos de criptografia de disco por região e assinatura.
  • Para obter informações sobre o uso de chaves gerenciadas pelo cliente com galerias de imagens compartilhadas, confira Preview: Use chaves gerenciadas pelo cliente para criptografar imagens.

As seguintes seções abordam como habilitar e usar chaves gerenciadas pelo cliente nos discos gerenciados:

A configuração de chaves gerenciadas pelo cliente para os discos exigirá que você crie recursos em uma ordem específica, caso esteja fazendo isso pela primeira vez. Primeiro, você precisará criar e configurar um Azure Key Vault.

Configurar seu Azure Key Vault

  1. Entre no portal Azure.

  2. Procure e selecione Key Vaults.

    Screenshot do portal Azure com a caixa de diálogo de pesquisa expandida.

    Importante

    Seu conjunto de criptografia de disco, máquina virtual, discos e instantâneos devem estar todos na mesma região e assinatura para que a implantação seja bem-sucedida.

  3. Selecione +Criar para criar um novo Key Vault.

  4. Criar um grupo de recursos.

  5. Insira um nome de Key Vault, selecione uma região e selecione um tipo de preço.

    Observação

    Ao criar a instância do Key Vault, você deve habilitar a exclusão suave e a proteção contra exclusão completa. A exclusão suave garante que o Key Vault mantenha uma chave excluída por um período de retenção específico (padrão de 90 dias). A proteção de limpeza garante que uma chave excluída não seja excluída permanentemente até que o período de retenção termine. Essas configurações protegem você contra a perda de dados devido à exclusão acidental. Essas configurações são obrigatórias ao usar um Key Vault para criptografar discos gerenciados.

  6. Selecione Revisar + Criar, verifique suas escolhas e selecione Criar.

    Screenshot da experiência de criação Azure Key Vault, mostrando os valores específicos que você cria.

  7. Assim que o seu cofre de chaves terminar de ser implantado, selecione-o.

  8. Selecione Chaves em Objetos.

  9. Selecione Gerar/Importar.

    Screenshot do painel de configurações do recurso Key Vault, mostrando o botão de gerar/importar dentro de configurações.

  10. Deixe o Tipo de chave definido como RSA e o Tamanho da chave RSA definido como 2048.

  11. Preencha as seleções restantes como desejar e, em seguida, selecione Criar.

    Captura de tela do painel de criação de uma chave que aparece quando o botão de gerar/importar é selecionado.

Adicionar uma função do RBAC do Azure

Agora que você criou o cofre de chaves do Azure e uma chave, você deve adicionar uma função de RBAC do Azure, para poder usar seu cofre de chaves do Azure com o conjunto de criptografia de discos.

  1. Selecione Controle de acesso (IAM) e adicione uma função.
  2. Adicione as funções Key Vault Administrator, Owner ou Contributor.

Configurar o conjunto de criptografia de disco

  1. Procure por Conjuntos de criptografia de disco e selecione-o.

  2. No painel Conjuntos de Criptografia de Disco, selecione +Criar.

  3. Selecione seu grupo de recursos, nomeie o conjunto de criptografia e selecione a mesma região que o cofre de chaves.

  4. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

    Observação

    Depois de criar um conjunto de criptografia de disco com um tipo de criptografia específico, ele não pode ser alterado. Se você quiser usar um tipo de criptografia diferente, deverá criar um novo conjunto de criptografia de disco.

  5. Verifique se Selecionar cofre de chaves do Azure e chave está selecionado.

  6. Selecione o cofre de chaves, a chave que você criou anteriormente e a versão da chave.

    Observação

    Para discos gerenciados com chaves gerenciadas pelo cliente entre locatários, a chave selecionada pode estar em um Cofre de Chaves em um locatário Microsoft Entra diferente.

  7. Se você quiser habilitar a rotação automática de chaves gerenciadas pelo cliente, selecione Rotação automática de chaves.

  8. Selecione Examinar + Criar e Criar.

    Captura de tela do painel de criação de criptografia de disco, mostrando a assinatura, o grupo de recursos, o nome do conjunto de criptografia de disco, a região e o cofre de chaves + seletor de chave.

  9. Navegue até o conjunto de criptografia de disco assim que ele for implantado e selecione o alerta exibido.

    Captura de tela do usuário selecionando o alerta 'Para associar um disco, uma imagem ou um instantâneo a este conjunto de criptografia de disco, você deve conceder permissões ao cofre de chaves.'

  10. Isso concederá permissões do cofre de chaves ao conjunto de criptografia de disco.

    Captura de tela da confirmação de que as permissões foram concedidas.

Implantar uma máquina virtual

Agora que você criou e configurou o cofre de chaves e o conjunto de criptografia de disco, você pode implantar uma VM usando a criptografia. O processo de implantação de VM é semelhante ao processo de implantação padrão, as únicas diferenças são que você precisa implantar a VM na mesma região que os outros recursos e optar por usar uma chave gerenciada pelo cliente.

  1. Pesquise Máquinas Virtuais e selecione + Criar para criar uma VM.

  2. No painel Basic, selecione a mesma região do conjunto de criptografia de discos e do Azure Key Vault.

  3. Preencha os outros valores no painel Básico como quiser.

    Captura de tela da experiência de criação da VM, com o valor de região realçado.

  4. No painel Discos, para Gerenciamento de chaves, selecione o conjunto de criptografia de disco, o cofre de chaves e a chave na lista suspensa.

  5. Faça as seleções restantes como desejar.

    Captura de tela da experiência de criação da VM e do painel de discos com a chave gerenciada pelo cliente selecionada.

Habilitar em um disco existente

Cuidado

Habilitar a criptografia de disco em qualquer disco anexado a uma VM exige que você interrompa a VM.

  1. Navegue até uma VM que está na mesma região que um dos seus conjuntos de criptografia de disco.

  2. Abra a VM e selecione Parar.

Captura de tela da sobreposição principal da sua VM de exemplo, com o botão Parar realçado.

  1. Após a interrupção total da VM, selecione Discos e selecione o disco que você quer criptografar.

Captura de tela da VM de exemplo, com o painel Discos aberto. O disco do SO está realçado como um exemplo de disco para você selecionar.

  1. Selecione Criptografia e, em Gerenciamento de chaves, selecione o cofre de chaves e a chave na lista suspensa, em Chave gerenciada pelo cliente.

  2. Clique em Salvar.

Screenshot do seu disco de sistema operacional de exemplo, o painel de criptografia está aberto, a criptografia em repouso com uma chave gerenciada pelo cliente é selecionada, bem como seu exemplo Azure Key Vault.

  1. Repita esse processo para todos os outros discos anexados à VM que você gostaria de criptografar.

  2. Quando os discos terminarem de alternar para as chaves gerenciadas pelo cliente, se não houver nenhum outro disco anexado que você queira criptografar, inicie a VM.

Importante

As chaves gerenciadas pelo cliente dependem de identidades gerenciadas para recursos do Azure, um recurso do Microsoft Entra ID. Ao configurar chaves gerenciadas pelo cliente, uma identidade gerenciada é atribuída automaticamente aos recursos de maneira interna. Se você mover posteriormente a assinatura, o grupo de recursos ou o disco gerenciado de um Microsoft Entra diretório para outro, a identidade gerenciada associada aos discos gerenciados não será transferida para o novo locatário, portanto, as chaves gerenciadas pelo cliente poderão não funcionar mais. Para obter mais informações, consulte Transferência de uma assinatura entre diretórios do Microsoft Entra.

Habilitar a rotação automática de chaves em um conjunto de criptografia de disco existente

  1. Navegue até o conjunto de criptografia de disco no qual você deseja habilitar a rotação automática de chaves.

  2. Em Configurações, selecione Chave.

  3. Selecione Rotação automática de chaves e selecione Salvar.

Conteúdo relacionado

  • Last updated on